搜索
电子商务交易过程中的安全与防范(防火墙技术)防火墙技术防火墙便是网络安全问题的解决方案之一。和其他网络安全技术相比,防火墙技术相对成熟。它通过监测、限制和更改跨越防火墙的数据流等多种技术,尽可能地对外部网络屏蔽有关被保护网络的结构信息,实现对内部网络的安全保护。虽然防火墙不能有效地解决所有的网络安全问题,但目前普遍的观点是不能在没有防火墙保护下,通过服务器或其他设备在网络上提供网络服务。网络安全的保障和维护离不开防火墙。防火墙概述防火墙的基本概念及特征人们借鉴传统“防火墙”的概念,在内部网络和外部网络之间构建起一道安全屏障,这道屏障的作用是阻断来自外部的威胁和入侵,提供负责本地网络的安全和审计的关卡。取传统防火墙的喻义,这种屏蔽系统就叫做网络防火墙或防火墙系统。防火墙的基本概念及特征防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。其最主要功能是屏蔽和允许指定的数据通信,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通信的合法性。防火墙基于一定的软硬件,使互联网与局域网之间建立起一个安全网关(securitygateway),从而保护内部网络免受非法用户的侵入。防火墙的基本概念及特征防火墙一般由网络政策、验证工具、包过滤和应用网关4个部分组成。1)网络政策网络政策一般包括服务访问政策和防火墙设计政策。(1)服务访问政策用以确定受限的网络许可、明确拒绝的服务以及如何使用这些服务及例外条件。通过确定服务访问政策,可以确定如何使用互联网、如何控制外部网络访问等全局性问题。需要强调的是,这种政策是一个部门有关保护信息资源政策的延伸,通常应在部署防火墙前拟定。(2)防火墙设计政策定义用来实施服务访问政策的有关规则,描述各种限制访问的具体实现,是服务访问政策的细化和实施方案。例如,它可以包含以下基本设计规则:防火墙的基本概念及特征2)验证工具验证工具用以保护用户的口令等信息免受入侵者监视和盗用。目前常用的有智能卡、验证令牌、生物特征识别等技术。由于防火墙可以集中控制网络访问,因此是安装验证工具的理想场所。虽然许多验证措施也可以应用到每个主机,但把各项验证措施集中于防火墙中实现更切合实际,更便于管理。防火墙的基本概念及特征3)包过滤包过滤的原理在于监视并过滤流入流出的IP包,拒绝发送可疑的包。过滤的依据主要包括IP源地址、IP目的地址、封装协议、TCP/UDP源端口、ICMP包类型等。其功能主要包括从属服务(以某一特定服务为基础的信息流)过滤和独立于服务的过滤。对基于特定端口的远程连接进行过滤是从属服务过滤的典型例子,而独立于服务的过滤可以有效阻止地址欺骗攻击、源路由攻击、残片攻击等。防火墙的基本概念及特征4)应用网关为了克服包过滤的某些弱点,防火墙需使用应用软件来转发和过滤Telnet和Ftp等服务的连接,这种应用成为代理服务,相应的系统即应用网关。具有应用网关特征的防火墙具有更高的安全性和灵活性。防火墙的基本概念及特征2.典型的防火墙的基本特征(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时,才可以全面、有效地保护内部网络不受侵害。防火墙的基本概念及特征(2)只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到其他的链路上去。(3)防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当内部网络安全防护重任的先决条件。防火墙的发展史防火墙的发展经历了5个时期:(1)第一代防火墙。第一代防火墙几乎与路由器同时出现,它采用了包过滤(packetfilter)技术,是依附于路由器的包过滤功能而实现的防火墙。(2)第二代、第三代防火墙。1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙。同时,推出了第三代防火墙,即应用层防火墙(或者叫做代理防火墙)。防火墙的发展史(3)第四代防火墙。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(dynamicpacketfilter)技术的防火墙,这种技术后来演变为目前所说的状态检测(statefulinspection)技术。这就是第四代防火墙的雏形。第四代防火墙技术成熟的标志是1994年以色列的CheckPoint公司推出的商业化产品。(4)第五代防火墙。1998年,NAI公司正式推出了一种自适应代理(adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。防火墙的作用一般来讲,防火墙具有如下作用。1.网络安全的屏障防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务来降低风险。例如,防火墙可以禁止不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,例如,IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙还可以拒绝攻击的报文并通知防火墙管理员。防火墙的作用2.强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散到各个主机上,而是集中在防火墙上。防火墙的作用3.对网络存取和访问进行监控审计如果所有的访问都经过防火墙,防火墙就能记录下这些访问并生成日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集到的网络使用和误用情况也是非常重要的。这些情况可以清楚地反映防火墙是否能够抵挡攻击者的探测和攻击、防火墙的控制是否充足。而网络使用的统计对网络需求分析和威胁分析等有很大的作用。防火墙的作用4.防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网络重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至暴露内部网络的某些安全漏洞。防火墙的作用目前的防火墙往往还能够提供以下特殊功能:(1)IP转换。IP转换的主要功能有两个,一是隐藏网络设备的真实IP,从而使入侵者无法直接攻击内部网络,二是可以使用rfc1918的保留IP,这对IP地址匮乏的网络是很实用的。(2)防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)和在公共网络中建立的专用加密虚拟通道,以确保通信安全。(3)杀毒。一般都通过插件或联动实现。(4)与IDS联动。目前实现这一功能的产品也有逐渐增多的趋势。(5)GUI界面管理。传统以及一些UNIX/Linux下的防火墙一般都是通过命令行方式键入命令来控制访问策略的,商用的防火墙一般都提供了Web和GUI的界面,以便于管理员进行配置工作。(6)自我保护、流控和计费等其他功能。防火墙的优缺点1.防火墙的优点1)提供扫描、过滤功能网络间流入流出的所有数据均要经过防火墙。防火墙对所有流经的数据进行扫描,能够过滤掉一些攻击,以免其在目标计算机上执行。2)屏蔽端口防火墙不仅可以关闭不使用的端口,而且还能禁止特定端口的流出通信,封锁特洛伊木马。3)强化网络安全策略防火墙通过完善的安全策略,使符合规定的请求通过,阻止非法请求;同时可以阻止外部网络擅自连接到内部网络,以达到保护内网的目的。例如,在企业中防火墙可以控制内部员工的上网行为,防止公司机密信息泄露。防火墙的优缺点4)有效记录网络连接行为防火墙可以完整地记录内外网互连的各种请求甚至通信信息。管理员可以通过这些记录来判断非法请求的来源,内网是否有病毒和木马存在,是否有人在外网进行攻击等。5)屏蔽用户防火墙能够隔离网络中的网段,防止一个网段出问题后影响另一个网段。防火墙还可以确保从外网无法直接查看到内网的主机信息,有效地保护内网的安全。防火墙的优缺点2.防火墙的缺点1)不能防范恶意知情者防火墙可以禁止系统用户通过网络连接发送专有信息,但用户可以将数据复制到其他介质中带出去。内部用户可以破坏防火墙体系,巧妙地修改程序从而绕开防火墙。因此,对于来自知情者的威胁只能加强内部管理,对用户进行安全教育。2)不能防范绕开防火墙的攻击防火墙能够有效地防止通过它进行传输的信息,然而不能防止不通过它进行传输的信息。如果站点允许对防火墙后面的内部系统进行连接,那么防火墙就没有办法阻止入侵者的入侵行为。防火墙的优缺点3)不能自动防御新威胁防火墙被用来防范已知的威胁,如果是一个很好的防火墙设计方案,可以防范新的威胁。但是没有一个防火墙能自动防范所有新威胁。4)防火墙不能有效防范病毒病毒一旦感染内部受信任的主机,防火墙很难对其行为作出识别和过滤,从而不能有效防范病毒。防火墙的分类防火墙技术发展至今,已经出现了许多成熟的产品。根据它们所使用的技术,结合OSI层次模型,可将防火墙分为以下几种类型。1.电路层网关防火墙电路层网关(circuitgateway)防火墙在网络的传输层上实施访问策略。它通过在内、外网络主机之间建立一个虚拟电路进行通信,相当于在防火墙上直接开了一个孔进行传输,而应用层防火墙能严密控制应用层的信息。防火墙的分类2.包过滤型防火墙包过滤型(packetfilter)防火墙是一种报文过滤防火墙,这个层次的防火墙通常工作在网络层及以下。它基于单个包实施网络控制,可控的内容主要包括报文的源地址、目的地址、源端口号及目的端口号、包出入接口、协议类型、数据包中的各种标志位以及第二层数据链路层可控的MAC地址等。防火墙的分类3.基于状态的包过滤防火墙这种防火墙在传统的包过滤防火墙的基础上增加了对OSI参考模型第四层的支持,同时,防火墙会在自身cache或内存中维护一个动态的状态表,数据包到达时,对该数据包的处理方式将综合访问规则和数据包所处的状态。防火墙的分类4.代理服务器防火墙代理服务器防火墙(proxyservicefirewall)通过在主机上运行代理服务程序,直接对特定的应用层进行服务,因此也称为应用层防火墙。其核心是运用防火墙主机上的代理服务器进程,代理网络用户完成TCP/IP功能。对每种不同的应用层(如Email、FTP、Telnet、WWW等)都应用一个相应的代理。代理服务可以实现用户认证、详细日志、审计跟踪、数据加密等功能,并实现对具体协议及应用的过滤,如阻止Java或JavaScript程序的运行。防火墙的分类5.混合型防火墙混合型防火墙(hybridfirewall),就是把过滤和代理服务等功能结合起来,形成新的防火墙,所用主机称为堡垒主机,负责代理服务。6.基于状态检测的防火墙目前,基于状态检测的防火墙是属于比较新的产品,是由CheckPoint公司最先推出的,其设计思想源于基于状态的包过滤防火墙,只是在此基础上增加了对应用层数据包的审核。防火墙的分类7.自适应代理技术自适应代理技术是一种最新的防火墙技术,在一定程度上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略,动态适应传送中的分组流量。如果安全要求较高,则安全检查应在应用层完成,以保证代理防火墙的最大安全性;一旦代理明确了会话的所有细节,其后的数据包就可以直接通过网络层传送。防火墙技术分类包过滤技术1.包过滤原理包过滤技术的基本工作原理是允许或不允许某些包在网络上传输。其遵循的基本原则是“最小特权原则”,即一切未被允许的就是被禁止的,一切未被禁止的就是被允许的。包过滤